Skip to content
DSGVO-Pflichten calendar_today Aktualisiert: 7. April 2026 schedule 5 Min. Lesezeit

DSB: Was ist ein Datenschutzbeauftragter und Brauchen Sie Einen?

verified Zuletzt überprüft 7. April 2026 · das GDPRWise Rechtsteam

Ein DSB (Datenschutzbeauftragter) ist eine Pflichtrolle unter der DSGVO, aber nicht für jeden. Dieser Artikel erklärt, wann Sie einen brauchen und wann nicht, und was KMU in der Praxis regeln müssen.

summarize Kernaussagen
  • check_circle Die meisten KMU brauchen keinen DSB, aber Sie sollten jemanden benennen, der für die DSGVO verantwortlich ist
  • check_circle Ein DSB ist Pflicht, wenn Sie besondere Datenkategorien in großem Umfang verarbeiten oder Personen systematisch überwachen
  • check_circle Ein DSB kann intern oder extern sein, muss aber unabhängig arbeiten können
  • check_circle Keinen DSB nötig? Dann sorgen Sie mindestens für einen DSGVO-Ansprechpartner in Ihrer Organisation

Was ist ein DSB?

Ein DSB (Datenschutzbeauftragter), im Englischen “Data Protection Officer” (DPO) genannt, ist eine Person, die innerhalb einer Organisation die Einhaltung der DSGVO überwacht. Der DSB ist Ansprechpartner für die Aufsichtsbehörde und für die Personen, deren Daten Sie verarbeiten. Es handelt sich um eine formelle Rolle, die in den Artikeln 37 bis 39 der DSGVO verankert ist.

Wichtig: Der DSB ist nicht verantwortlich für die DSGVO-Konformität. Diese Verantwortung liegt bei der Organisation selbst. Der DSB berät, kontrolliert und weist auf Probleme hin, ist aber nicht persönlich haftbar, wenn etwas schiefgeht.

Wann ist ein DSB Pflicht?

Die DSGVO schreibt einen DSB in drei Situationen vor:

1. Behörden und öffentliche Stellen Jede Behörde, die personenbezogene Daten verarbeitet, muss einen DSB bestellen. Keine Ausnahme.

2. Umfangreiche, systematische Überwachung von Personen Dies gilt, wenn Ihre Kerntätigkeit in der systematischen und umfangreichen Beobachtung von Personen besteht. Denken Sie an:

  • Videoüberwachungsunternehmen, die für mehrere Kunden Überwachung durchführen
  • Unternehmen, die Online-Verhalten in großem Umfang für Werbezwecke verfolgen
  • Sicherheitsunternehmen, die systematisch Personen überwachen

3. Umfangreiche Verarbeitung besonderer Datenkategorien Besondere Kategorien umfassen unter anderem: Gesundheitsdaten, biometrische Daten, Daten über Rasse oder Ethnie, politische Meinungen, religiöse Überzeugungen und strafrechtliche Daten. Beispiele:

  • Krankenhäuser und Pflegeeinrichtungen
  • Labore, die Gentests durchführen
  • Versicherer, die Gesundheitsdaten in großem Umfang verarbeiten

Wann brauchen Sie KEINEN DSB?

Die meisten KMU fallen nicht unter die drei oben genannten Kategorien. Einige Beispiele:

  • Ein Bauunternehmen mit 25 Mitarbeitern verarbeitet Personal- und Kundendaten, aber das ist nicht die Kerntätigkeit und erfolgt nicht in großem Umfang. Kein DSB nötig.
  • Ein Onlineshop mit 10.000 Kunden verarbeitet Namen, Adressen und Bestellhistorie. Das sind gewöhnliche personenbezogene Daten, keine besonderen Kategorien, und die Kerntätigkeit ist Verkauf, nicht Datenverarbeitung. Kein DSB nötig.
  • Eine Steuerberatungskanzlei mit 5 Mitarbeitern verarbeitet Finanzdaten von Mandanten. Obwohl sensibel, handelt es sich nicht um “besondere Kategorien” im Sinne der DSGVO. Kein DSB nötig.
  • Eine kleine Marketingagentur, die Kampagnen für Kunden verwaltet. Solange Sie nicht in großem Umfang profilieren, kein DSB nötig.

Die Schlüsselwörter sind “Kerntätigkeit” und “großer Umfang”. Wenn Sie personenbezogene Daten zur Unterstützung Ihrer eigentlichen Geschäftstätigkeit verarbeiten (und das tun fast alle Unternehmen), ist das nicht Ihre Kerntätigkeit.

Was macht ein DSB genau?

Wenn Sie einen DSB brauchen (oder freiwillig einen bestellen), sind dies die Aufgaben:

  • Informieren und beraten zu DSGVO-Pflichten gegenüber Organisation und Mitarbeitern
  • Überwachen der DSGVO-Einhaltung, einschließlich Zuweisung von Verantwortlichkeiten, Sensibilisierung und Schulung
  • Beratung zu DSFAs (Datenschutz-Folgenabschätzungen)
  • Ansprechpartner für die Aufsichtsbehörde
  • Ansprechpartner für Betroffene mit Fragen oder Beschwerden zu ihren Daten

Ein DSB kann intern (ein Mitarbeiter) oder extern (ein beauftragter Spezialist) sein. In beiden Fällen gilt:

  • Der DSB muss unabhängig arbeiten können und darf keine Weisungen erhalten, wie er seine Aufgabe ausführt
  • Der DSB darf keinen Interessenkonflikt haben - der Geschäftsführer, HR-Leiter oder IT-Leiter kann nicht gleichzeitig DSB sein
  • Der DSB muss ausreichende Ressourcen und Zugang erhalten, um seine Arbeit zu erledigen

Keinen DSB nötig? Das müssen Sie TROTZDEM regeln

Keinen formellen DSB bestellen zu müssen bedeutet nicht, dass Sie nichts tun müssen. Ihre Organisation muss:

  1. Einen DSGVO-Ansprechpartner benennen - jemand intern, der weiß, wie die DSGVO-Dokumentation organisiert ist und Betroffenenanfragen bearbeiten kann
  2. Ein Verarbeitungsverzeichnis führen - das ist für praktisch jede Organisation Pflicht
  3. Eine Datenschutzerklärung veröffentlichen - damit Kunden und Mitarbeiter wissen, wie Sie ihre Daten verarbeiten
  4. Ein Verfahren für Datenschutzverletzungen haben - damit Sie innerhalb von 72 Stunden reagieren können
  5. Auftragsverarbeitungsverträge abschließen - mit jeder Partei, die in Ihrem Auftrag Daten verarbeitet

Der Unterschied ist, dass Sie keinen formell bestellten, unabhängigen Beauftragten brauchen. Aber jemand muss es tun.

Praktisch: Wie regeln Sie das?

Wenn Sie einen DSB BRAUCHEN:

  • Intern: Benennen Sie einen Mitarbeiter mit Datenschutzrecht-Kenntnissen. Stellen Sie sicher, dass diese Person ausreichend Zeit und Budget erhält
  • Extern: Beauftragen Sie einen DSB-as-a-Service. Die Kosten liegen zwischen 500 und 2.000 Euro pro Monat
  • Melden Sie den DSB bei der Aufsichtsbehörde an

Wenn Sie KEINEN DSB BRAUCHEN:

  • Benennen Sie intern jemanden als DSGVO-Kontaktperson
  • Stellen Sie sicher, dass diese Person DSGVO-Grundkenntnisse hat
  • Dokumentieren Sie, wer es ist und welche Verantwortlichkeiten diese Person hat
  • Nutzen Sie ein Tool wie GDPRWise, um das Verarbeitungsverzeichnis und die Dokumentation zu pflegen
auto_awesome Ihr DSGVO-Dossier automatisieren?

GDPRWise hilft Ihnen, Ihr Verarbeitungsverzeichnis, Ihre Datenschutzerklärung und Ihre DSGVO-Dokumentation zu erstellen und zu pflegen - ohne einen DSB zu benötigen.

Teilen share LinkedIn mail E-Mail
GW
GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.